24.01.2020

So entwickeln Sie ein Datensicherheitskonzept

Viele Unternehmen haben ein Datensicherheitskonzept, das die Risiken nicht genau genug berücksichtigt. Oft finden sich nur allgemeine Aussagen zum Datenschutz. Das neue Standard-Datenschutzmodell (SDM 2.0) hilft dabei, die Schutzmaßnahmen zu konkretisieren.

Datensicherheitskonzept

Datensicherheitskonzept muss dynamisch sein

Wann haben Sie sich zuletzt das Datensicherheitskonzept Ihres Unternehmens angesehen? Müssen Sie länger überlegen, macht das schon eine Schwachstelle sichtbar: Das Sicherheitskonzept Ihres Unternehmens lebt nicht.

Es muss jedoch dynamisch sein, sich mit der Risikolage entwickeln. Dazu gehört beispielsweise, dass das Konzept neue Angriffsverfahren und neue IT-Technologien berücksichtigt.

Wie die Aufsichtsbehörden bei Kontrollen festgestellt haben, füllen viele Unternehmen ihre Konzepte für die IT-Sicherheit und die Datensicherheit mit allgemeinen Aussagen zum Datenschutz. Finden sich genaue Vorgaben und Richtlinien, aktualisieren die Unternehmen sie häufig nicht.

Das führt zu einer lückenhaften IT-Sicherheits-Infrastruktur und begünstigt Datenpannen.

Datensicherheit nach Standard-Datenschutzmodell entwickeln

Es ist nicht einfach, ein aktuelles Konzept für die technisch-organisatorischen Maßnahmen (TOMs) des Datenschutzes zu erstellen: Entweder die geplanten Maßnahmen reichen nicht aus oder sie sind übertrieben aufwändig.

Der wirkliche Schutzbedarf hängt nicht nur von der jeweiligen Datenkategorie ab. Also davon, ob es sich etwa um besondere Kategorien personenbezogener Daten handelt oder nicht.

Auch die aktuelle Gefahrenlage spielt eine Rolle. So ist der Schutzbedarf höher, wenn Angreifer gegenwärtig massiv bestimmte Arten von Daten stehlen.

Die Aufsichtsbehörden für den Datenschutz haben nun ein wichtiges Instrument veröffentlicht. Es hilft Unternehmen und Behörden, geeignete technisch-organisatorische Maßnahmen auszuwählen: die grundlegend überarbeitete Version des Standard-Datenschutzmodelles (SDM).

Das PDF der Datenschutzkonferenz (DSK) finden Sie unter https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methode.pdf.

Mit dem SDM stellt die DSK ein Werkzeug bereit, um die technischen und organisatorischen Maßnahmen, die die Datenschutz-Grundverordung (DSGVO) fordert, angepasst an das Risiko auszuwählen und rechtlich zu bewerten.

Das SDM bietet mit den sogenannten Gewährleistungszielen ein Bindeglied zwischen Recht und Technik. Außerdem unterstützt es damit einen ständigen Dialog zwischen Beteiligten aus den juristischen und technisch-organisatorischen Bereichen.

Das Datensicherheitskonzept auf Basis von SDM 2.0

Das SDM 2.0 geht von Gewährleistungszielen aus, die sich von den Grundsätzen der Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) ableiten.

Die Gewährleistungsziele sind

  • Sicherung der Verfügbarkeit,
  • Integrität,
  • Vertraulichkeit,
  • Transparenz,
  • Intervenierbarkeit,
  • Nicht-Verkettung von personenbezogenen Verfahren,
  • Datenminimierung und
  • Belastbarkeit, wobei sich die Belastbarkeit aus den Forderungen in Artikel 32 DSGVO (Sicherheit der Verarbeitung) ergibt.

Diese Gewährleistungsziele ergänzt das Modell um Schutzbedarfs-Feststellungen. So erreicht es eine angemessene Auswahl und Wirksamkeit der Schutzmaßnahmen.

Der Schutzbedarf ist abhängig vom zu erwartenden Schaden, der sich aus dem Risikoniveau einer Verarbeitung herleitet. Dabei nimmt das SDM die Sicht des Betroffenen ein.

Bei der Risikobeurteilung lässt sich auf die Datenschutz-Folgenabschätzung (Artikel 35 DSGVO) zurückgreifen. In bestimmten Fällen schreibt dies die DSGVO vor.

Maßnahmen auswählen

In einem zweiten Schritt müssen die Verantwortlichen dann die Datenschutz-Verletzungen, die durch eine mangelhafte IT-Sicherheit entstehen können, beurteilen und durch Maßnahmen eindämmen.

Für den letzten Punkt bietet das SDM 2.0 einen Katalog mit Schutzmaßnahmen.

Zudem ist das SDM 2.0 mit dem IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) kompatibel. So können Unternehmen und Behörden auch geeignete Maßnahmen aus dem IT-Grundschutz nehmen, wenn sie dabei die Gewährleistungsziele des Datenschutzes beachten.

Die Datenschutzkonferenz empfiehlt den Verantwortlichen in Wirtschaft und Verwaltung, das SDM bei Planung, Einführung und Betrieb von personenbezogenen Verarbeitungen anzuwenden.

Die Aufsichtsbehörden planen, das SDM kontinuierlich weiterzuentwickeln. Anwenderinnen und Anwender sind eingeladen, den Datenschutz-Aufsichtsbehörden ihre Erfahrungen bei der Nutzung des SDM mitzuteilen. So tragen sie dazu bei, das Modell stetig zu verbessern.

Die Checkliste hilft Ihnen ebenfalls, die Arbeit an Ihrem Datensicherheitskonzept zu optimieren.


Download:


Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)